Intelligence Artificielle et Transparence : plus qu’une information, un devoir d’explication

Intelligence Artificielle et Transparence : plus qu’une information, un devoir d’explication

 Dans Droit des affaires, Droit des Collectivités Locales

Par un arrêt du 27 février 2025, n°C-203/22 , la CJUE définit les « informations utiles concernant la logique sous-jacente » d’une décision automatisée, y compris un profilage (tel qu’un scoring bancaire), auxquelles a droit d’accéder la personne concernée.

 

1. Les faits et la procédure

 

Dans cette affaire, une personne s’est vu refuser la conclusion ou la prolongation d’un contrat au motif que, selon une évaluation de son crédit par voie automatisée, elle ne présentait pas une solvabilité financière suffisante.

L’autorité publique de protection des données a enjoint au responsable du traitement de communiquer à cette personne des « informations utiles concernant la logique sous-jacente » à la prise de décision automatisée fondée sur les données à caractère personnel relatives à cette personne, en application de l’article 15, paragraphe 1, sous h), du RGPD.

Le responsable du traitement a contesté cette décision devant la juridiction administrative du pays en lui opposant en substance qu’elle n’avait pas à communiquer à cette personne d’informations supplémentaires à celles qui lui avaient déjà été fournies, en raison d’un secret d’affaires protégé.

La juridiction administrative a constaté que le responsable du traitement avait violé l’article précité en ne fournissant pas des informations utiles sur la logique sous-jacente à la prise de décision automatisée fondée sur les données à caractère personnel relatives à cette personne, ou, à tout le moins, en ne motivant pas de façon suffisante l’impossibilité dans laquelle elle se serait trouvée de fournir ces informations.

Elle a relevé en particulier que le responsable du traitement n’avait pas fourni à cette personne d’explications suffisantes lui permettant de comprendre comment avait été établi, la concernant, le pronostic sur la probabilité de son comportement futur (« score ») que cette entreprise lui avait communiqué avec la précision que, pour obtenir ce « score », certaines données sociodémographiques de cette personne avaient été « agrégées de manière équivalente ».

La demande d’exécution forcée de cette décision auprès de l’autorité d’exécution a été rejetée au motif que le responsable du traitement aurait suffisamment satisfait à son obligation d’information.

La juridiction administrative tenue de faire exécuter cette décision a dans un premier temps désigné un expert pour déterminer les actes concrets que le responsable du traitement était tenu d’accomplir et, dans un deuxième temps, décidé de poser des questions préjudicielles à la Cour de Justice de l’Union Européenne.

 

2. La décision de la Cour

2.1

En cas de prise de décision automatisée, y compris un profilage, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique sous-jacente », que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité.

La personne concernée doit en effet pouvoir vérifier les principes de licéité et d’exactitude des données et exercer notamment son droit de contester la décision automatisée. Elle doit donc pouvoir comprendre les informations communiquées par le responsable du traitement.

Ne saurait satisfaire à ces exigences ni la simple communication d’une formule mathématique complexe, telle qu’un algorithme, ni la description détaillée de toutes les étapes d’une prise de décision automatisée, dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible.

Ainsi, les « informations utiles concernant la logique sous-jacente » à une prise de décision automatisée doivent décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées, et de quelle manière, lors de la prise de décision automatisée en cause, sans que la complexité des opérations à réaliser dans le cadre d’une prise de décision automatisée puisse libérer le responsable de traitement de son devoir d’explication.

Concernant spécifiquement un profilage, il pourrait notamment être considéré comme étant suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent.

2.2

Le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, dont le secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel.

Dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée comportent des données de tiers protégées, notamment par des secrets d’affaires, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD.

CJUE, 27 février 2025, n°C-203/22

 

Derniers articles
Marchés publics et hausse des prix de certaines matières premièresDroit des Collectivités Locales, Entreprise, Marchés publics